Coops hackare försvunna från nätet
CYBERATTACKERNA
Publicerad:
Ekonomi (TT)
De hackare som stängde Coop har försvunnit.
– En teori är att USA fått Ryssland att stänga ner gruppen, säger Robert Lagerström, it-forskare på KTH i Stockholm.
På kvällen den 2 juli stängde hackergruppen Revil ner Coops kassasystem i flera dagar. Hackarna hade lyckats ta sig in hos Kaseya, ett it-företag i Florida i USA med hundratals kunder över hela världen, som Coop köpt kassasystem av.
Coops system var krypterade och låsta och bara hackergruppen Revil kunde låsa upp dem – mot betalning.
– Kaseya kände till att deras system var sårbart och höll faktiskt på att fixa det. Men hackarna hann före, säger Robert Lagerström, som är forskare och lärare inom cybersäkerhet.
Han, hans kollegor och deras studenter hackar företag på uppdrag från företagen själva för att hitta sårbarheter innan oetiska hackare hinner dit.
Krävde miljoner
Revil, även känt som Sodinokibi, krävde motsvarande cirka miljoner kronor i bitcoin för att låsa upp företagens it-system. Många vd:ar fick brottas med frågan om de skulle betala eller inte.
Svenska Coop säger sig inte ha betalat någon lösesumma. Myndigheten för
Så skedde IT-attacken som sänkte Coop
Attacken utfördes av en hackergrupp som kallar sig REvil och utnyttjade en legitim programvara från IT-företaget Kaseya för att sprida sig till Kaseyas kunder. Kaseyas programvara används för att låta administratörer av kommersiella IT-system övervaka och sköta sina servrar på distans – något som har ökat i popularitet under coronakrisen när många IT-avdelningar har jobbat hemifrån.
REvil tog först kontroll över Kaseyas servrar och använde dem sedan, på fredagen svensk tid, för att skicka ut en mjukvaruuppdatering till Kaseyas kunder. Bland kunderna fanns det svenska företaget Extenda Retail AB, som sköter driften av ett centraliserat IT-system som måste fungera för att Coops kassaterminaler i sin tur ska fungera.
Att på detta sätt centralisera serverdrift "i molnet", det vill säga på internet, har blivit talets stora trend bland IT-chefer världen över. Trenden har lett till att många företag har kunnat stänga sina egna serverrum och spara stora kostnader, men nackdelen är uppenbar: När varje butik inte längre har egna kassasystem som fungerar självständigt måste hela matvarukedjan slå igen om det centrala "molnbaserade" systemet slå
Hackergruppen bakom Coop-stängningens krav: miljoner kronor
Uppdaterad | Publicerad
Coop-butikerna har tvingats hålla stängt hela helgen för att de inte kan ta betalt.
Nu kräver hackergruppen Revil miljoner kronor för att släppa it-systemen som matjätten och andra företag över hela världen är beroende av.
Coop-kunden: "Nu blir det inte några jordgubbar"
Utöver alla Coop-butiker som drabbats har även SJ och Apoteket Hjärtat haft betalproblem under helgen på grund av en hackerattack.
Anledningen är att amerikanska mjukvaruleverantören Kaseya utsatts för en ransomware-attack och har blivit blockerade från sina egen it-system.
Ransomware-hackarna Revil tar på sig den stora attacken som påverkar företag över hela världen.
De kräver nu cirka miljoner kronor i bitcoin för att ge Kaseya tillgång till sina egna system igen, enligt en uppdatering på Revils blogg.
Betalar Kaseya ska det ta en timme att återställa deras system, enligt Revil.
När Coop kan öppna igen är oklart. Sent på söndagskvällen skriver de på sin hemsida att de ”arbetar intensivt” med att lösa problemen så snart som möjligt.
Mjukvaruföretaget Kaseya uppger att de under dagen ska försöka åte
Coop-attacken: Vilka är egentligen Revil?
Revil (som även kallas Sodinokibi) kan framstå som en ny spelare i cyberbrottvärlden, men Palo Alto Networks har övervakat aktörerna knutna till denna grupp i tre år. IT-säkerhetsjätten mötte dem först när de arbetade i en grupp som kallades Gandcrab. Vid den tiden var de mest inriktade på att distribuera ransomware genom så kallad malvertising och exploateringspaket, alltså skadliga annonser och skadlig programvara som hackare använder för att infektera sina offer när de besöker en skadlig webbplats.
Läs även: Ransomware-attack stängde Coop &#; rysk hackergrupp kräver miljoner
Den gruppen förvandlades sedan till Revil, växte och fick rykte om sig att stjäla massiva datamängder och kräva utpressningssummor på flera miljoner dollar. De är nu en av flera cyberutpressningsgäng som tillsammans orsakat den kraftiga ökningen av attacker som har gjort ransomware till ett av de mest akuta säkerhetshoten för företag och länder runt om i världen.
Den genomsnittliga betalning som Revil har fått under är enligt Palo Alto Networks 2,25 miljoner dollar. Gruppen begär ofta stora summor men det är också möjligt att förhandla sig till en lägre sum
.